編集部からのお知らせ
「ZDNet Japan Summit」参加登録受付中! 
新着記事集:「負荷分散」

オラクル、「Java」脆弱性のパッチを公開--Windowsが「完全に乗っ取られる」恐れも

Danny Palmer (Special to ZDNet.com) 翻訳校正: 編集部

2016-02-09 10:36

 放置すればMicrosoftの「Windows」システムが「完全に乗っ取られる」恐れのある「Java」脆弱性について、Oracleがセキュリティパッチをリリースした。

 今回リリースされたバグフィックスは、「Java Platform Standard Edition」(Java SE)のバージョン6u111、7u95、8u71、8u72がWindowsプラットフォームにインストールされている場合に悪用される恐れのある脆弱性(CVE-2016-0603)を修復する。

 この脆弱性はリモートから悪用可能で、攻撃者はユーザー名やパスワード不要でネットワークを乗っ取ることができる。

 ただし、このセキュリティ脆弱性を悪用するためには、攻撃者はユーザーを騙して、悪意のあるウェブサイトを訪問させ、問題のあるJava SEがインストールされる前に、感染ファイルをマシンにダウンロードさせる必要がある。

 実行するのは困難だが、この脆弱性が実際に悪用されると、ユーザーのシステムが「完全に乗っ取られてしまう」恐れがある、と「Oracle Software Security Assurance Blog」の今回のパッチに関する投稿は警告した。

 システムを乗っ取られるリスクは最初のインストールプロセスの間にのみ存在するので、Javaの既存バージョンを既に使用しているユーザーはCVE-2016-0603の影響を受けない、とOracleは述べている。

 しかし、「『6u113』『7u97』『8u73』より前のバージョンのJava SEをダウンロードしたユーザーはこれらを破棄して、代わりに6u113、7u97、8u73以降のバージョンをインストールすべきだ」と同社は警告する。

 このセキュリティパッチは累積的なものなので、インストール先のネットワークは、過去の「Critical Patch Update」および「Security Alert」のすべての既存フィックスも受け取ることになる。

 今回のセキュリティアラートの一環として、Oracleはユーザーに対し、自分がJava SEの最新バージョンを実行していること、そして、旧バージョンがシステムから完全に削除されていることを確認するよう警告している。

 さらに、代替的なJavaダウンロードサイトは「悪質」なものである可能性があるので、必ず公式のJavaダウンロードサイトからJavaアップデートを入手するよう同社はユーザーに勧めている。

 OracleはCVE-2016-0603脆弱性のリスクとそれから身を守る方法についての詳細情報を「Oracle Technology Network」に掲載している。

 2015年12月に成立した米連邦取引委員会(FTC)との和解の条件に基づき、OracleはJava SEの古いバージョンを実行しているユーザーに対して警告を発する義務を負っている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]